Операции с файлами: Удаление/Перемещение/Переименование¶
Агентская часть Staffcop Enterprise обладает полным функционалом по отслеживанию и перехвату любых файловых операций, происходящих на рабочей станции пользователя или на терминальном сервере.
Решение о перехвате файлов принимается на основе правил, заданных в конфигурации агента.
Конфигурация агента может быть общей или распространяемой только на определённые группы агентов\отдельные рабочие станции пользователей.
Наиболее частыми файловыми операциями, на которые нужно обращать внимание офицеру безопасности, это операции Удаления/Перемещения/Переименования файлов.
Все эти события можно отследить, нажав в меню администрирования в дереве событий «Типы событий/файловые операции».
Чтобы детализировать отчётность только по интересующм событиям, к примеру «Удаления», необходимо выбрать данную операцию. В результате этого получаем список всех операций с файлами, которые были удалены.
Существует возможность детализации информации при выборе «Анализ» в меню отображения. При этом необходимо в фильтре измерения добавить «Имя пользователя» и выбрать «Имя приложения».
В нижней части окна можно представить эту информацию в графическом виде. Например, выбрать построение дерева по начальным фильтрам:
- файловые операции
- файловая операция удаления
- ветка дерева «Имя пользователя»
- подветка «Имя приложения»
Вид отображения «Дерево» легко анализировать визуально, а также распечатать в формате PDF (нажав «Печать» в верхней части меню администрирования).
Если событий оказалось слишком много или необходимо просмотреть эти события отдельно, можно вернутся в вид отображения информации «События», и добавить, к примеру, дополнительный фильтр на «Название приложения», выбрав ненужные, и нажать «инвертировать выделение»:
Затем нажать «Выгрузка», получив всю ленту событий для выгрузки и анализа. Кнопка «Выгрузка и печать» позволит распечатать полученную информацию (например, в PDF) для детального анализа.